Proxy endian 2.2 caindo!

[Emanuel Facundo]

Srs,

Estou tendo problemas com o proxy, de uma hora pra outra o mesmo trava e só navega quem está no baypass, verificando o log do arquivo “/var/log/squid/cache.log” encontrei a seguinte mensagem “TCP connection to 127.0.0.1/9999 failed”. Alguém sabe o que está acontecendo?. Esse problema começou a acontecer sexta-feira 17/06, desde então o proxy fica ativado 5 minutos e cai. Alguma opnião?

[Eduardo Silva]

Emanuel,

A porta 9999 pertence ao dansguardian, verifique nos logs deste se aparece alguma mensagem.

EDIT: Verificando o post http://endian.eth0.com.br/topic/proxy-lento-endian-24 acredito que você tenha instalado a nova versão…

[Emanuel Facundo]

Oi Eduardo,

Primeiro gostaria de agradeçer sua atenção. Realmente utilizei a versão 2.2 por muito tempo, depois o proxy ficou caindo constantemente, daí identifiquei essa mensagem “TCP connection to 127.0.0.1/9999 failed” no arquivo “cache.log”. Instalei a nova versão 2.4, muito boa, com várias funcionalidades e sem falar no excelente firewall, mas essa mensagem continua aparecendo. O estranho é que os bloqueios de conteúdo, URL, estão funcionando normalmente. Essa mensagem é normal?. Preciso reiniciar algum serviço, para normalizar?

[Eduardo Silva]

Emanuel,

O Dansguardian está rodando? No arquivo de logs do dansguardian você vê alguma mensagem de erro?

Com qual frequência que isto está acontecendo?

Você fez alguma modificação no seu dansguardian e/ou endian?

[]’s

[Emanuel Facundo]

Oi Eduardo,

O Dansguardian está rodando sim. No arquivo de log dele “/var/log/dasguardian/access.log” está normal, apenas aparecendo as paginas bloqueadas como “*DENIED* Banned site: orkut.com”. Essa mensagem “TCP connection to 127.0.0.1/9999 failed” acontece constantemente, ou seja, incrementando direto no arquivo de log, com diferença de segundos até. Também não fiz nenhuma alteração no dansguardian ou no endian. Apenas instalei, configurei o firewall, configurei o proxy utilizando o default profile do content filter, com antivirus ativado, Internet Content Selection ativado e alguns dominios bloqueados. Existe alguma sequência para configurar essas restrições no proxy, é necessário criar mais de um profile para cada restrição?

Tenho ativado também o serviço de Intrusion Prevention, o snmp server, que tenho certeza que esse serviços não tem nada haver com essa mensagem, como vc mesmo disse, essa porta é do dansguardian.

[]´s

[Albaney Baylão]

Como está a configuração do firewall?

[Emanuel Facundo]

Oi Albaney,

A configuração do meu firewall é simples. Tenho 8 servidores na DMZ (ORANGE) com os devidos redirecionamentos. Estou bloqueando a Outgoing (Saída), libero só o necessário e habilito a comunicação interzone da Rede Interna(GREEN) para DMZ(ORANGE) e pronto. O mais estranho é que o dansguardian está funcionando, realizando os filtros, mas a mensagem “2010/06/23 13:46:15| TCP connection to 127.0.0.1/9999 failed” continua incrementando, como disse no post acima, praticamente a cada segundo.

[Albaney Baylão]

Verifique se nenhuma das suas regras no firewall não está bloqueando este tráfego.

[Emanuel Facundo]

Oi Albaney,

Primeiro gostaria de agradeçer a tua atenção e a do Eduardo sobre esse caso. Bom analisei o meu firewall, realmente não encontrei nada que pudesse estar bloqueando esse tráfego. Cheguei a desabilitar a Outgoing(Saída) e o trafego inter-zone e nada.. Acho que não é firewall pq quando clico em “Status” -> “Connections”, consigo vizualizar essa porta 9999 orginando de 127.0.0.1 com destino a 127.0.0.1 na porta tcp e com status “ESTABlISHED”. Ou seja essa comunicação está acontecendo. Possui mas alguma idéia?

[]´s

[Emanuel Facundo]

Albaney,

Hoje pela manhã começei a logar as conexões originadas do ip 127.0.0.1 e vi que realmente está sendo bloqueado essa porta 9999.

“INPUT:DROP lo TCP 127.0.0.1 39362 00:00:00:00:00:00 127.0.0.1 9999”

Estranho que ele faz esse bloqueio por default, seria algum bug? Alguma idéia para alterar isso?

[brulinux]

Olá Emanuel Facundo,

Já tentou atualizar o dansguardian?

– Acesse o site http://updates.endian.org/stable/pool/

usuário = email cadastrado no endian

senha = community

– Realize o donwload do pacote rpm, envie para o servidor e instale.

Outra coisa como está funcionando o seu IDS, está habilitado o bloqueio em alguma regra?

[Emanuel Facundo]

Olá brulinux,

Estou utilizando o endian 2.4, entrei no site que vc falou e veriquei os pacotes disponiveis, são os mesmos que estão instalados no meu endian, olha só:

rpm -qa | grep dansguardian

dansguardian-2.10.1.1-5.endian8

efw-dansguardian-blacklists-2.2.0-0.endian4

efw-dansguardian-2.4.0-2.endian15

Meu IDS está desabilitado. O que to achando estranho é o firewall do endian bloquear essa porta. Quando vou em Logs -> Firewall vejo a mensagem,

“INPUT:DROP lo TCP 127.0.0.1 39362 00:00:00:00:00:00 127.0.0.1 9999”. A mensagem “TCP connection to 127.0.0.1/9999 failed” continua chegando no arquivo cache.log do squid e o dasnguardian faz os bloqueios de conteúdo normal, só estou notanto um tempo de resposta baixo, pois as vezes preciso atualizar a página para mesma aparecer. Questão de hardware não é, pois estou monitorando o servidor através do cacti, tanto processamento, memoria, trafego está tudo normal.

[brulinux]

Eu também tive alguns problemas de navegação no endian 2.4 com o dansguardian, a navegação ficava lenta e a VPN usada nos clientes windows também ficou muito lenta, e quando o dansguardian era desativado a internet voltava ao normal, por fim parei de utilizar o dansguardian já que a listas de sites bloqueados é muito pequena aqui na empresa.

No endian 2.3 o dansguarndian funcionava 100%.

[Emanuel Facundo]

brulinux,

E como faço para desativar o dansguardian, basta só desmarcar “Platform for Internet Content Selection” é isso?.

[brulinux]

Basta destativar ou excluir as regras que utilizam o content filter em “Access Policy”.

Assim o squid entente que você não está utilizando o dansguardian como filtro de conteúdo.

[Emanuel Facundo]

Brulinux,

Fiz isso, mas tipo.. como faço para bloquear uma URL, orktu.com, etc…?

[Emanuel Facundo]

Srs,

Obrigado pela força, fiz alguns testes aqui, ambos sem sucesso. Não consegui liberar aquela porta no fireall, mesmo colocando ela mão o dansguardian continua reclamando de conexão com aquela porta. Estou seguindo a dica do colega “brulinux” em desativar o dansguardian e utilzar uma restrição apenas por dominio. Agradeço a todos que tentaram me ajudar… Estarei aqui sempre acompanhando esse forum em busca de ajudar alguém ou até mesmo encontrar o que pode está acontecendo com o dansguardian. Obrigado!

[Autor]

Posts